FileProfile()FileProfile()

Importante

Il nuovo Centro sicurezza Microsoft 365 è ora disponibile.The improved Microsoft 365 security center is now available. Questa nuova esperienza consente di accedere a Defender per endpoint, Defender per Office 365, Microsoft 365 Defender e altre soluzioni nel Centro sicurezza Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Informazioni sulle novità.Learn what's new.

Si applica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

La funzione è una funzione di arricchimento nella ricerca avanzata che aggiunge i dati seguenti ai FileProfile() file trovati dalla query. The FileProfile() function is an enrichment function in advanced hunting that adds the following data to files found by the query.

ColonnaColumn Tipo di datiData type DescrizioneDescription
SHA1 stringastring SHA-1 del file a cui è stata applicata l'azione registrataSHA-1 of the file that the recorded action was applied to
SHA256 stringastring SHA-256 del file a cui è stata applicata l'azione registrataSHA-256 of the file that the recorded action was applied to
MD5 stringastring Hash MD5 del file a cui è stata applicata l'azione registrataMD5 hash of the file that the recorded action was applied to
FileSize intint Dimensioni del file in byteSize of the file in bytes
GlobalPrevalence intint Numero di istanze dell'entità osservate da Microsoft a livello globaleNumber of instances of the entity observed by Microsoft globally
GlobalFirstSeen datetimedatetime Data e ora in cui l'entità è stata osservata per la prima volta da Microsoft a livello globaleDate and time when the entity was first observed by Microsoft globally
GlobalLastSeen datetimedatetime Data e ora dell'ultima osservazione dell'entità da parte di Microsoft a livello globaleDate and time when the entity was last observed by Microsoft globally
Signer stringastring Informazioni sul firmatario del fileInformation about the signer of the file
Issuer stringastring Informazioni sull'autorità di certificazione (CA) emittenteInformation about the issuing certificate authority (CA)
SignerHash stringastring Valore hash univoco che identifica il firmatarioUnique hash value identifying the signer
IsCertificateValid booleanboolean Indica se il certificato utilizzato per firmare il file è validoWhether the certificate used to sign the file is valid
IsRootSignerMicrosoft booleanboolean Indica se il firmatario del certificato radice è MicrosoftIndicates whether the signer of the root certificate is Microsoft
SignatureState stringastring Stato della firma del file: SignedValid - Il file è firmato con una firma valida, SignedInvalid - il file è firmato ma il certificato non è valido, Unsigned - il file non è firmato, Unknown - Le informazioni sul file non possono essere recuperateState of the file signature: SignedValid - the file is signed with a valid signature, SignedInvalid - the file is signed but the certificate is invalid, Unsigned - the file is not signed, Unknown - information about the file cannot be retrieved
IsExecutable booleanboolean Indica se il file è un file PE (Portable Executable)Whether the file is a Portable Executable (PE) file
ThreatName stringastring Nome di rilevamento per qualsiasi malware o altre minacce rilevateDetection name for any malware or other threats found
Publisher stringastring Nome dell'organizzazione che ha pubblicato il fileName of the organization that published the file
SoftwareName stringastring Nome del prodotto softwareName of the software product

SintassiSyntax

invoke FileProfile(x,y)

ArgomentiArguments

  • x- Colonna ID file da utilizzare: , , o ; se non specificata, viene utilizzata SHA1 SHA256 la InitiatingProcessSHA1 InitiatingProcessSHA256 SHA1 funzionex—file ID column to use: SHA1, SHA256, InitiatingProcessSHA1, or InitiatingProcessSHA256; function uses SHA1 if unspecified
  • y: limite al numero di record da arricchire, da 1 a 1000; la funzione utilizza 100 se non specificatoy—limit to the number of records to enrich, 1-1000; function uses 100 if unspecified

Suggerimento

Le funzioni di arricchimento mostreranno informazioni aggiuntive solo quando sono disponibili.Enrichment functions will show supplemental information only when they are available. La disponibilità delle informazioni è varia e dipende da molti fattori.Availability of information is varied and depends on a lot of factors. Tenere presente questa considerazione quando si usa FileProfile() nelle query o nella creazione di rilevamenti personalizzati.Make sure to consider this when using FileProfile() in your queries or in creating custom detections. Per ottenere risultati ottimali, è consigliabile utilizzare la funzione FileProfile() con SHA1.For best results, we recommend using the FileProfile() function with SHA1.

EsempiExamples

Project solo la colonna SHA1 e arricchirlaProject only the SHA1 column and enrich it

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Arricchire i primi 500 record ed elencare i file a bassa prevalenzaEnrich the first 500 records and list low-prevalence files

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15